【インシデントに関する情報】
保険会社の顧客データ盗み恐喝 さらに空売り投資家をたきつけ | ScanNetSecurity
10 月 17 日発表された米国証券取引委員会(SEC)に提出された報告書の中で、グローブ・ライフは最近「当社とその独立代理店が保有・使用している特定の情報」を、公表しない代わりに金銭を要求する正体不明の脅威アクターから連絡を受けたと明らかにしている。
被害を受けた個人はすべて同社子会社のアメリカン・インカム・ライフ・インシュアランス・カンパニー(AIL)の顧客で、氏名や電子メールアドレス、電話番号、住所、社会保障番号、健康データなどのデータが盗まれたが、金融情報は盗まれていないという。
調査終了 11 月以降予定 ~ 東京損保鑑定にランサムウェア攻撃 | ScanNetSecurity
東京損保鑑定株式会社は10月7日、同社サーバへのランサムウェア攻撃について発表した。これは同社のサーバに第三者から不正アクセスがあり、同サーバ内に保存されていたファイルがランサムウェアにより暗号化されたというもの。Insurance admin Landmark says data breach impacts 800,000 people
保険事務サービス会社ランドマーク・アドミンは、5月のサイバー攻撃によるデータ侵害が80万人以上に影響を及ぼすと警告している。
Landmark Admin は保険会社向けのサードパーティ管理者であり、大手保険会社向けに新規ビジネス処理や請求管理などのバックオフィス サービスを提供しています。
2024年5月13日に不審な活動を検知し、攻撃の拡大を防ぐためにITシステムとネットワークへのリモートアクセスをシャットダウンしたと述べています。
ランドマークは、インシデントを修復し、攻撃でデータが盗まれたかどうかを調査するために、サードパーティのサイバーセキュリティ企業と協力しました。
ランドマーク社は、今回の調査で、攻撃者が攻撃中に806,519人の個人情報を含むファイルにアクセスした証拠を発見したと述べている。
【攻撃の傾向・手法】
LinkedIn bots and spear phishers target job seekers | Malwarebytes
最近、解雇されたばかりの人々を狙う偽の LinkedIn アカウントが見つかりました。投稿から数分以内に、数十のアカウントがリンクを添えて返信したり、つながりとして追加するようリクエストしたりします。
彼らの主な目的は、求職者を支援するふりをして人脈を築くことのようです。これにより、彼らのプロフィールの信憑性が高まり、彼らを締め出すのが難しくなる可能性があります。
→攻撃者は求職者に対して、マルウェアに感染させるための資料を送り付け、認証情報の奪取等を狙っている模様
Akira is encrypting again after abandoning double extortion • The Register
Akira ランサムウェア攻撃が、典型的な二重の恐喝戦術から抜け出して、被害者のファイルを暗号化するという古い手口を再び行っていると考えている。
Akira は今年初めにランサムウェア暗号化ツールの新バージョンを開発しましたが、私たちはつい最近、Windows ホストと Linux ホストの両方を標的とする暗号化ツールの新たなバージョンを確認しました。
【攻撃組織の動向】
Lazarus Group Exploits Google Chrome Vulnerability to Control Infected Devices
Lazarus Groupとして知られる北朝鮮の脅威アクターは、現在パッチが適用されているGoogle Chromeのセキュリティ上の欠陥をゼロデイで悪用し、感染したデバイスの制御を奪取したとされている。
問題となっている脆弱性は、Google が 2024 年 5 月中旬に修正した V8 JavaScript および WebAssembly エンジンの型混乱バグであるCVE-2024-4947です。これらの攻撃は、電子メールやメッセージング プラットフォームを通じて潜在的なターゲットにアプローチし、投資機会を探しているブロックチェーン企業やゲーム開発者を装って、ゲームをインストールするように仕向けることで実行されます。
Black Basta ransomware poses as IT support on Microsoft Teams to breach networks
BlackBasta ランサムウェア攻撃は、ソーシャル エンジニアリング攻撃を Microsoft Teams に移行し、企業のヘルプ デスクを装って従業員に連絡し、進行中のスパム攻撃への対応を支援しています。
5 月に、 Rapid7とReliaQuest は、標的の従業員の受信トレイに何千ものメールを大量に送信した新しい Black Basta ソーシャル エンジニアリング キャンペーンに関する勧告を発表しました。これらのメールは悪意のあるものではなく、主にニュースレター、サインアップ確認、メール検証で構成されていましたが、ユーザーの受信トレイをすぐに圧倒しました。その後、脅威アクターは、対応に追われている従業員に電話をかけ、会社の IT ヘルプデスクを装ってスパム問題の解決を助けます。
攻撃者はユーザーを騙して AnyDesk リモート サポート ツールをインストールさせたり、Windows Quick Assist リモート コントロールおよび画面共有ツールを起動して Windows デバイスへのリモート アクセスを提供させたりします。そこから、攻撃者は、ユーザーの企業デバイスへの継続的なリモートアクセスを提供する ScreenConnect、NetSupport Manager、Cobalt Strike などのさまざまなペイロードをインストールするスクリプトを実行します。
研究者らは、Black Basta の関連組織が 10 月に Microsoft Teams を活用して戦術を進化させていることを確認した。攻撃者は電話をかける代わりに、外部ユーザーとして Microsoft Teams を通じて従業員に連絡し、企業の IT ヘルプデスクになりすまして従業員に連絡し、スパム問題の解決を支援しています。目的は、再びターゲットを騙して AnyDesk をインストールさせたり、Quick Assist を起動させたりして、脅威アクターがデバイスにリモートアクセスできるようにすることです。
【脆弱性情報】
AWS CDK flaw exposed accounts to full takeover • The Register
Amazon Web Services は、オープンソースの Cloud Development Kit に存在する、適切な条件下では攻撃者がユーザーのアカウントを完全に乗っ取る可能性がある欠陥を修正しました。
Cloud Development Kit (CDK) は、AWS が開発したオープンソースフレームワークであり、開発者は Python、TypeScript、JavaScript、Go などのプログラミング言語を使用してクラウドアプリケーションインフラストラクチャをコードとして定義し、AWS CloudFormation を通じてこれらのリソースをプロビジョニングできます。
これらの CDK ステージング バケットは、"cdk-{Qualifier}-{Description}-{Account-ID}-{Region}" という決まった命名メカニズムに従っています。これにより、AWS アカウント ID と CDK がデプロイされたリージョンがわかっていれば、簡単に予測できます。
【調査結果・ベンダーレポート】
「M-Trends 2024」で示された“脆弱性攻撃”の台頭──検知能力は改善も、依然として外部依存 (1/3)|EnterpriseZine(エンタープライズジン)
脅威検知の能力については顕著な改善が見られます。全世界の平均検知時間は、2022年に「16日」だったものが2023年には「10日」に短縮されました。また、アジア地域では、2017年に「約500日」だった検知時間が、2023年には「9日」にまで短縮されています。
「13%のケースで半年以上も脅威が検知されていない」という結果が報告されており、長期にわたる未検知の脅威が組織に潜在していることも露呈しました。さらに、“脅威の検知ソース”に関しても課題があります。全世界で54%、アジア地域では69%もの組織が外部からの通知に依存しており、組織内部での脅威検知能力が低く、ここに大きな改善の余地が残されているのです。
検知された攻撃元を国別に2023年同期比でみると、攻撃件数の上位は1位アメリカ、2位日本、3位イギリス、フランス、オーストラリアと続いていた。最も多い攻撃種別は、攻撃の対象を探索・調査、また無作為に行われる単純な攻撃で脆弱性を探すなどの「攻撃の予兆」である「Web scan」が全体の40%。続いて脆弱性スキャンツールなどを利用したBotによる攻撃である「Bad user agent」が23%。2023年7月からの動向を見ると、SQLインジェクション攻撃の検知数が増加傾向にある
【セキュリティ対策機器、ツールの紹介記事】
ガートナー「日本におけるセキュリティハイプ・サイクル」2024年版 | ScanNetSecurity
2024年版では、サイバーセキュリティの継続的なコンプライアンスの自動化、サイバーリスク・マネジメントにおけるAI、サイバー・フィジカル・システムのリスク・マネジメントの3項目を追加している。
サイバーセキュリティの継続的なコンプライアンスの自動化ツールは、継続的なコンプライアンス監視、証拠収集、外部監査と認証プロセスのサポートなどの機能を提供する。
サイバーリスク・マネジメントにAIを採用することで、プロセスの顕著な効率化を実現し、サイバーセキュリティの防御を強化し、複雑で進化を続けるサイバーリスクの状況をより良くナビゲート可能となる。
多くの企業ではセキュリティ対策よりも新しいサービスの開始や維持が優先される傾向にあり、CPSの環境にはセキュリティ上の脆弱性が多く、それらを狙ったセキュリティ脅威がますます増加しているという。サイバー・フィジカル・システム(CPS)のリスク・マネジメントで、企業はCPS特有のセキュリティおよび安全性のリスクを効果的に管理が可能となる。
2024年10月21日コンソーシアム知見集「セキュリティ透明性確保に向けた可視化データ活用~脆弱性管理編~」公開 - Security Transparency Consortium
【コラム系】
What NIST's post-quantum cryptography standards mean for data security
国国立標準技術研究所 (NIST) は、初のポスト量子暗号 (PQC) 標準規格を発表しました。
「量子安全性」を実現するには、暗号の成熟度を高め、その過程で暗号プログラムを変革する必要があります。目標は、量子によるリスクに対する耐性を含む強力な暗号態勢です。
量子耐性への道のりは、多くの場合、リスクの分析や修復の優先順位付けなど、企業全体の暗号インベントリを可視化するためのデータの検出と分類から始まります。検出と分類の先には、暗号の俊敏性、つまりプラットフォーム、システム、アプリケーションが適切かつ速やかに次の暗号化方式に移行できるようにしておくことが必要。
近ごろよく耳にする「ゼロトラスト」の基本原則と構成要素をおさらいしよう:ビジネスパーソンのためのIT用語基礎解説 - @IT
ゼロトラストの基本的なコンセプトの説明
NIST が打ち出したパスワードに関する新ガイドラインの内容と、従来の方式が機能しなかった理由 - Cisco Japan Blog
NISTの新たなガイドラインの推奨事項により、ユーザーや管理者にとっては、従来から採用しているテキストベースのログイン情報がより管理しやすいものになるはずです。調査によると、特殊文字と数字をパスワードの要件にしていることが、「$ummer2024!」や「P@ssword」のような推測されやすいパスワードが生成される原因になっているとのことです。
パスワードの変更を求めるポリシーは、記憶するのがほぼ不可能に近いパスワードをユーザーが生成する事態を招いてきました。ユーザーは仕方なく、パスワードを紙にメモしてパソコンの近くなど目に入りやすい場所に保管したり、テキストファイル形式でデスクトップに保存したりしています。
NIST の期待は、長いパスワードを要件とすることで攻撃者に推測されにくくなり、ユーザーが比較的パスワードを管理しやすくなる点にあるでしょう。